• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[암호모듈 검증-1]정책 초점 불명확한 암호모듈 검증제도 2009.03.05

암호모듈 검증제도 의무화, 하지만 정책 초점은 불명확

의무 아닌 권고에 따른 보안업체들 혼선 야기


국정원이 올해부터 ‘암호모듈 검증제도’를 의무화한다고 발표함에 따라 국가·공공기관에 정보보호제품을 납품하는 보안업체들에 비상이 걸렸다. 이를 반영하듯 닉스테크와 파이오링크가 각각 암호모듈 검증필을 득하고 있는 고려대학교·드림시큐리티의 암호모듈을 탑재하는 등 발빠르게 움직였다. 하지만 국정원이 이를 의무화한다고 발표한지 2달여가 지난 결과치고는 아쉬움이 남는다. 이런 상황에서 ‘암호모듈 검증제도’가 무엇이며, 그에 따른 보안업체들의 움직임 및 문제점 등 현상황을 점검해 보도록 하겠다. - 편집자 주 -


<순서>

1. 정책 초점 불명확한 암호모듈 검증제도

2. 암호모듈 검증과 보안업체들의 입장

3. 국정원의 암호모듈 검증 의무화의 현주소


국가정보원은 지난해 12월 8일 ‘정보보호제품 인증정책 설명회’를 갖고 정보보호제품을 대상으로 한 상용 암호모듈 검증정책을 발표했다. 그리고 이어 12월 28일에는 상용 암호모듈 개발업체 관계자들이 참석한 가운데 ‘상용 암호모듈 검증제도’ 설명회를 개최한 바 있다.


이러한 일련의 국정원의 행보는 올해 1월부터는 국가·공공기관에 공급되는 모든 정보보호제품에는 국정원의 암호모듈 검증필을 득한 암호모듈을 반드시 탑재해야 한다는 내용이었으며, 그 후 2달 여가 지났다.


그리고 현재 국정원의 검증필 암호모듈을 득한 업체(암호모듈 명칭)는 ▲이니텍(INISAFE Crypto V1.0) ▲어울림정보기술(SECUREWORKS IPSWall 2000 V4.0) ▲케이사인(KSignCASE V2.1) ▲고려대학교(KLIB V1.4) ▲한국정보인증(SignGATE V1.0) ▲비티웍스(BTW-Crypto V1.0) ▲티맥스소프트(T-Crypto V1.1) ▲드림시큐리티(Magic Crypto V1.0) ▲펜타시큐리티시스템(CIS-CC V3.0) ▲소프트포럼(XecureCrypto V1.2.3.0) ▲유비엠정보(MPowerCrypto V1.3) 이상 11개 업체이다. 검증을 받은 날짜 순이다. 이들 중 어울림정보통신은 암호형상이 H/W이며, 나머지는 모두 S/W 암호형상이다.


또한 이번 3월에는 한 업체가 추가로 검증필 암호모듈을 득하고, 4월 중에 2개 업체가 추가 예정이라고 국정원 관계자는 밝혔다.


반면 관련 업체 한 관계자는 “국정원의 정책 초점이 흐릿하고 두리뭉실한 것 같다”며 “그렇다보니 업체 입장에서도 명확히 잡히는 게 없다”고 토로했다. 이와 관련 암호모듈 검증이 무엇인지 우선적으로 알아보고 암호모듈 검증이 강조되고 있는 이유를 살펴보도록 한다.


정보보호제품, ‘CC인증’+‘암호모듈 검증’ 통한 보안성 완성

보안적합성 검증에 있어 검증체계에 대해 국정원 IT보안인증사무국은 “국가·공공기관에 도입되는 정보보호제품은 구성형태와 기능에 따라, CC인증 또는 검증필 암호모듈 탑재가 요구된다. 암호기능이 구현된 네트워크·컴퓨팅 기반 정보보호제품은 CC인증과 함께 검증필 암호모듈을 탑재하여야 하며, 암호 기반제품은 검증필 암호모듈을 탑재해야 한다”고 설명하고 있다.


이에 대해 국정원 관계자는 “정보보호제품의 암호모듈에 대한 검증이 포함되지 않은 CC인증에 암호모듈에 대한 검증을 함께함으로써 안전성 및 신뢰성 확보를 통해 보안성을 완성하고자 하는 데 이의가 있다”는 것이 국정원 관계자의 설명이다.


정보보호제품 검증모듈 탑재하지 않아도 납품 가능한데 의무화?

국정원은 올해부터 암호모듈 검증제도를 의무화한다는 발표를 함에 있어 이미 21개월이라는 유예기관을 주어 대상 업체들이 준비할 수 있도록 하는 시간을 주고 지난 1월 10일 대상 보안업체들과 이와 관련한 간담회를 개최한 바 있다.


그에 따라 대상 보안업체들은 촉각을 곤두세웠다. 암호모듈 검증필을 득한 한 업체는 이틀 후인 12일 관련 업체들을 초청해 설명회를 개최하는 등 발빠른 움직임을 보였으며 이후 닉스테크나 파이오링크의 암호모듈 구매 등의 움직임이 나타났다.


국정원의 암호모듈 검증제도 의무화는 ‘전자정부법’, ‘ 전자정부시행령’에 근거를 두고 있다.


이와 관련 국정원 관계자는 “이번 암호모듈 검증제도 의무화는 전자정부법 27조와 전자정부시행령 35조에 근거하고 있다”고 밝혔으며 그 내용은 다음과 같다.


전자정부법 제27조 3항에는 “행정기관의 장은 정보통신망을 이용하여 전자문서를 보관·유통함에 있어서 위조·변조·훼손 또는 유출을 방지하기 위하여 국가정보원장이 안전성을 확인한 보안조치를 하여야 하고, 국가정보원장은 그 이행 여부를 확인할 수 있다”고 명시하고 있다.

 

또 전자정부시행령 제35조 1항에서는 위 사항에서 언급한 ‘국가정보원장이 안전성을 확인한 보안조치’에 대해 “1. 국가정보원장이 개발하거나 안전성을 검증한 암호장치와 정보보호시스템의 도입·운용 2. 전자문서가 보관·유통되는 정보통신망에 대한 보안대책의 시행”이라고 명시하고 있다.


이에 한 정책전문가는 “전자정부법과 시행령이 암호모듈 검증제도를 의무화하겠다는 국정원의 발표에 따른 근거라면 이는 제대로된 컴플라이언스로 작용하기는 힘든 것 같다”며 “실제 국정원은 의무화한다고 발표는 했지만 발표 후 공공기관에 납품을 하는 업체들 제품에 암호모듈이 탑재가 되지 않아도 납품이 가능한 것은 의무화라기보단 권고사항이다”고 지적했다.


한편 관련 보안업체 관계자는 “보안성 완성 측면 등에서 볼 때 암호모듈 검증의 중요·필요성은 인지하지만 국가·공공기관에 들어가는 정보보호제품에 대한 컴플라이언스가 불명확한 상황에서 그에 대한 혼선은 불가피할 것 같다”고 우려했다.

[김정완 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>